Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[1월4주차] KRBanker 악성코드 정보
작성일 2015-01-29 조회 2181










1.개요

매년 사용자의 금융정보, 시스템정보, 개인정보를 탈취하려는 악성코드가 인터넷을 사용하기 위해 사용되는 MS, JAVA, Adobe 등 각종 취약점에 의해 다수 발견되고 있다. 이 중 파밍기능을 가진 악성파일은 사용자 PC를 감염 시켜 금융감독원 사칭, 국내은행 홈페이지 위장, 국내 포털사이트 위장 등 사용자의 눈을 속여 금융정보를 탈취하려는 악의적인 행위를 한다. 매년 지속적으로 발견되는 KRBanker 악성코드는 변종의 형태로 발견되어  대응조차 어렵기 때문에 사용자는 금융정보 및 개인정보 등을 비롯하여 금전적인 피해를 입는 상황이다. KRBanker형 악성코드에 감염이 되더라도 금전적인 피해를 줄이기 위해선 스스로 주기적인 점검이 필요하다. 
아래 언급될 내용은 사용자가 스스로 PC점검을 통해 해당 악성코드에 아래 내용과 같은 정보가 존재하는지에 대해 점검 할 수 있도록 매주 발견되는 악성코드의 정보를 제공하려고한다.

 



2.1월4주차 악성코드 정보

1월 4주차(1월 19일 ~ 25일) 발견된 KR Banker형 악성코드이다. 국내를 타겟으로 하는 KRBanker 악성코드는 유형이 유사하다. 아래 6가지의 악성코드 외에 KRBanker 악성코드가 다수 발견되고 있지만 아래 언급된 [악성코드 생성], [레지스트리 변조 및 생성] 정보의 틀에서 많이 벗어 나지 않는다. 
※금주에 발견된 KRBanker 악성코드로써 아래 정보와 같은 내용이 존재 할 경우 해당 PC의 점검이 필요하다.
  



2.1 KRBanker-AType

※아래 언급된 Intel 디렉토리 이외에 BOT, Sandbox, UDiskMonitor 로 명시된 디렉토리도 존재한다.

[악성 코드 생성] 악성코드 위치: C:Intel
악성코드 위치: C:IntelConfig.ini
악성코드 위치: C:IntelInstall.exe
악성코드 위치: C:[영문-숫자16자리Random]
악성코드 위치: C:[영문-숫자16자리Random]Config.ini
악성코드 위치: C:[영문-숫자16자리Random]setting.xml
악성코드 위치: C:[영문-숫자16자리Random][영문5자리].exe
악성코드 위치: C:1.txt

[레지스트리 변조 및  생성]
악성 레지스트리 위치 : HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftWindowsCurrentVersionRunTFM0N: "c:[영문-숫자16자리Random][영문5자리].exe"
 


2.2 KRBanker-BType

[악성 코드 생성]
악성코드 위치: C:DOCUME~1사용자 이름LOCALS~1TempGcomeOwkx.exe
악성코드 위치: C:DOCUME~1사용자 이름LOCALS~1TempCCwratxt.exe
악성코드 위치: C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5Q4FUCSJ2cgi_personal_card[1]
악성코드 위치: C:DOCUME~1사용자 이름LOCALS~1TempHs_
악성코드 위치: C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5Q5RCK4YWip[1].htm
악성코드 위치: C:DOCUME~1사용자 이름LOCALS~1Tempd212964841824ddd8cc52f1349b879fa.zip
악성코드 위치: C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5HI8FB3V9upload[1].php


[악성 코드 생성]
악성코드 위치: C:WINDOWSsyotom.exe
악성코드 위치: C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5Q4FUCSJ2cgi_personal_card[1]
악성코드 위치: C:DOCUME~1사용자 이름LOCALS~1TempHs_
악성코드 위치: C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5Q5RCK4YWip[1].htm
악성코드 위치: C:DOCUME~1사용자 이름LOCALS~1Tempd212964841824ddd8cc52f1349b879fa.zip
악성코드 위치: C:Documents and Settings사용자 이름Local SettingsTemporary Internet FilesContent.IE5HI8FB3V9upload[1].php


[레지스트리 변조 및  생성]
악성 레지스트리 위치 : HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsyotom: "C:WINDOWSsyotom.exe"
악성 레지스트리 위치 : HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsyotom: "C:DOCUME~1사용자 이름LOCALS~1TempGcomeOwkx.exe"
악성 레지스트리 위치 : HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftWindowsCurrentVersionRunSSI: "C:DOCUME~1사용자 이름LOCALS~1TempCCwratxt.exe"
악성 레지스트리 위치 : HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftWindowsShellNoRoamMUICacheC:DOCUME~1사용자 이름LOCALS~1TempCCwratxt.exe: "CCwratxt"
악성 레지스트리 변조사항: HKLMSYSTEMControlSet001ServicesTcpipParametersInterfaces{A818B022-3A2E-4D13-9ED1-76205A434463}NameServer: "8.8.8.8,168.126.63.1"
악성 레지스트리 변조사항: HKLMSYSTEMControlSet001ServicesTcpipParametersInterfaces{A818B022-3A2E-4D13-9ED1-76205A434463}NameServer: "127.0.0.1,127.0.0.1"
악성 레지스트리 변조사항: HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftInternet ExplorerMainStart Page: "about:blank"
악성 레지스트리 변조사항: HKUS-1-5-21-790525478-1078145449-854245398-1003SoftwareMicrosoftInternet ExplorerMainStart Page: "www.naver.com"






3. 결론


국내를 타겟으로 제작된 KRBanker는 지속적으로 발견되고 있다.  위 언급된 악성코드의 유형이 다르며 주기적으로 변종의 형태로 KRBanker 악성코드가 제작되고 있다.
공격자들은 개인정보, 시스템 정보, 금융정보와 금전을 탈취하기위해 다양한 변종과 다양한 유형의 악성코드를 지속적으로 유포하기 때문에 피해사례가 속출되고 있다.
이와 같이 악성코드에 감염을 최소화 하기 위해선 사용자 스스로 보안을 인지하여 예방해야 한다.
이러한 예방책으로 사용자는 아래 항목을 지켜야한다.

- 취약한 프로그램을 사용하지 않으며, 주기적으로 최신의 버전을 유지 한다.
- 신뢰 가지 않은 사이트에서 유포하는 프로그램을 다운로드 받지 않는다.
- PC에 설치되어 있는 백신프로그램을 최신업데이트로 유지한다.
- 백신프로그램의  실시간 감지 기능을 ON으로 유지한다.
- 악성코드 정보 및 정보 동향 습득을 통한 사용자 스스로의 점검

위와 같은 항목을 지켜 사용자 스스로 시스템의 보안을 유지하기를 권고한다.

 

 


 

첨부파일 첨부파일이 없습니다.
태그